Tietoturva verkkotunnusten välitystoiminnassa..fi uudistuu 2016

Transkriptio

1 Tietoturva verkkotunnusten välitystoiminnassa.fi uudistuu 2016

2 Tietoturva verkkotunnusten välitystoiminnassa Ei yksityiskohtaisia ohjeita Asian EPP:n käyttäjille tiukemmat ja tarkemmat vaatimukset [Esittäjän nimi, titteli] [Pvm] 2

3 14 Tietoturvallisuuden huomioiminen 15 Riskien hallinta 16 Tietoaineistot 17 Tietoturvan valvonta 18 Tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta 19 Muutosten hallinta 21 Ilmoitusvelvollisuus häiriöstä 20 Katakri EPP-rajapinnan käyttäjille [Juhani Juselius, päällikkö [Pvm] 3

4 14 Tietoturvallisuuden huomioiminen» Kaikissa palvelun elinkaaren vaiheissa» Hallittu huomioiminen» Dokumentoidut prosessit» Osa-alueet: Hallinnollinen Henkilöstöturvallisuus Laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus Tietoaineisto- ja käyttöturvallisuus Fyysinen turvallisuus [Juhani Juselius, päällikkö [Pvm] 4

5 15 Riskien hallinta» Tietoisuus riskeistä, niiden vaikutuksista ja olemassa olevien hallintakeinojen riittävyys» Standardeja useita, mutta oma menetelmäkin käy: Riskit tunnistettava Hyväksyttävä riskitaso määritettävä Keinot määritettävä tälle tasolle pääsemiseksi Arviointi säännöllistä» Dokumentoitava [Juhani Juselius, päällikkö [Pvm] 5

6 16 Tietoaineistot» Tiedot vain käyttöoikeuden omaaville saatavissa» Tietoluokat määriteltävä (esim. julkinen, vain käyttäjälle, vain ylläpitäjälle)» Ohjeet käsittelylle» Dokumentoitava [Juhani Juselius, päällikkö [Pvm] 6

7 17 Tietoturvan valvonta» Välittäjällä velvollisuus huolehtia sta ja havaita merkittävät tapahtumat» -> hallintajärjestelmä» Oma-aloitteinen ja ripeä toiminta tärkeää» Dokumentoitava [Juhani Juselius, päällikkö [Pvm] 7

8 18 Tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta» Häiriötilanteeseen varauduttava Menettelyohjeet (mitä tehdään) Hallinnolliset ohjeet (kuka tekee) Yhteystiedot» Dokumentoitava [Juhani Juselius, päällikkö [Pvm] 8

9 19 Muutosten hallinta» Kaikki tekniset muutokset vähimmän haitan periaatteella tunnusten välittämiselle» Varattava riittävästi aikaa hallitulle muutokselle» Prosessit dokumentoitava [Juhani Juselius, päällikkö [Pvm] 9

10 21 Ilmoitusvelvollisuus häiriöstä» Merkittävistä n häiriötilanteista annettava ilmoitus 24h sisällä Arvioitava tietojen luotettavuutta, eheyttä ja saatavuutta Pitkäkestoisuus, toistuvuus tai tahallisuus» Vapaaehtoinen ilmoitus suositeltava vähäisemmistäkin tapahtumista» Ensisijaisesti sähköpostitse: fi-domain-hairio@ficora.fi» Tarvittaessa myös puhelimitse» Ilmoitusta voi täydentää 3vrk ajan [Juhani Juselius, päällikkö [Pvm] 10

11 21 Ilmoitusvelvollisuus häiriöstä» Ilmoitettavat tiedot: Välittäjän yhteystiedot Tapahtuman ja havaitsemisen ajankohta Tapahtumatyyppi Kohteen ja toimenpiteiden kuvaus Vaikutukset käyttäjiin [Juhani Juselius, päällikkö [Pvm] 11

12 20 Katakri EPP-rajapinnan käyttäjille» Välittäjän täytettävä teknisen llisuuden osaalueen tietoliikenneturvallisuutta ja tietojärjestelmäturvallisuutta koskeva osa (I1-I14)» Koskee vain välitystoimintaa ja ST IV-tasoa» Voimassaoleva versio löytyy Puolustusministeriön sivuilta defmin.fi [Juhani Juselius, päällikkö [Pvm] 12

13 20 Katakri EPP-rajapinnan käyttäjille (I01)» Tietojenkäsittely-ympäristö erotettava muista ympäristöistä vähintään palomuurilla» Fyysisen turva-alueen ulkopuolinen liikenne salattava viranomaisen hyväksymällä ratkaisulla [Juhani Juselius, päällikkö [Pvm] 13

14 20 Katakri EPP-rajapinnan käyttäjille (I02)» Tietoliikenneverkko on vyöhykkeistetty» Liikenne vyöhykkeiden välillä ja ulospäin on toteutettu vähimpien oikeuksien periaatteella [Juhani Juselius, päällikkö [Pvm] 14

15 20 Katakri EPP-rajapinnan käyttäjille (I03)» Liikennettä suodattavien ja valvovien järjestelmien käyttö on hallittua» Asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu» Toimintakykyä testataan määräajoin» Dokumentaatio olemassa [Juhani Juselius, päällikkö [Pvm] 15

16 20 Katakri EPP-rajapinnan käyttäjille (I04)» Hallintayhteydet: Käyttö- ja vähimpien oikeuksien mukaan Liikenne salattava mikäli julkisen internetin yli [Juhani Juselius, päällikkö [Pvm] 16

17 20 Katakri EPP-rajapinnan käyttäjille (I05 ja I06)» Langattomia verkkoja kohdellaan julkisena internetinä» Käyttäjille ja automaattisille prosesseille vain välttämättömät oikeudet» Salassa pidettävien tietojen luvaton muuttaminen estetään käyttäjäoikeuksin ja teknisin rajoittein» Säännöllinen katselmointi [Juhani Juselius, päällikkö [Pvm] 17

18 20 Katakri EPP-rajapinnan käyttäjille (I07)» Käyttäjät (ihmiset ja laitteet) tunnistettava luotettavasti Todentaminen toteutettava siten, että palvelunestohyökkäys ei mahdollistu [Juhani Juselius, päällikkö [Pvm] 18

19 20 Katakri EPP-rajapinnan käyttäjille (I08)» Ei turhia laitteita, ohjelmistoja tai prosesseja» Oletussalasanat vaihdettu» Aikakatkaisu hallintayhteyksiin» Ohjelmistot konfiguroitu turvallisiksi Esikatselu, autorun, yms pois päältä [Juhani Juselius, päällikkö [Pvm] 19

20 20 Katakri EPP-rajapinnan käyttäjille (I09)» Haittaohjelmat estettävä Torjuntaohjelmiston oltava asennettuna ja käynnissä Tuotettava hälytyksiä ja lokia Hälytyksiin reagoitava Tunnisteiden oltava ajantasalla Vähintään www- ja sähköpostiliikennettä suodatettava (omaa, ei asiakkaiden) [Juhani Juselius, päällikkö [Pvm] 20

21 20 Katakri EPP-rajapinnan käyttäjille (I10)» Lokituksen oltava kattavaa Tietomurrot ja yritykset voitava todentaa Säilytys vähintään 6kk (ellei laissa vaatimusta pidemmästä säilytysajasta) Lokitiedot suojattava [Juhani Juselius, päällikkö [Pvm] 21

22 20 Katakri EPP-rajapinnan käyttäjille (I11)» Hyökkäyksen havaitseminen verkkoliikenteestä Verkkoliikenteen normaalitila tunnettava Poikkeamat pyrittävä havaitsemaan» Toipumissuunnitelma oltava [Juhani Juselius, päällikkö [Pvm] 22

23 20 Katakri EPP-rajapinnan käyttäjille (I12)» Käytettävät salausratkaisut ovat viranomaisen hyväksymiä Kts. lista KATAKRIsta tai Tapauskohtainen hyväksyntä» Avainten-, salasanojen ja muiden kirjautumistietojen hallinnassa noudatetaan prosesseja [Juhani Juselius, päällikkö [Pvm] 23

24 20 Katakri EPP-rajapinnan käyttäjille (I13)» Turvallisen ohjelmoinnin periaatteita noudatettava» Tarkistettava että integraatiot ja konfiguroinnit ovat asianmukaiset» Yleisesti tunnetut hyökkäystavat kestettävä» I14 TEMPEST: ei relevantti [Juhani Juselius, päällikkö [Pvm] 24